OGNL enjeksiyonu hakk\u0131nda k\u0131sa bilgi<\/p>\n
OGNL (Nesne Grafi\u011fi Gezinme Dili) enjeksiyonu, bir sald\u0131rgan\u0131n bir web uygulamas\u0131n\u0131n sunucusunda rastgele kod y\u00fcr\u00fctmesine olanak tan\u0131yan bir t\u00fcr g\u00fcvenlik a\u00e7\u0131\u011f\u0131d\u0131r. Bu sald\u0131r\u0131 t\u00fcr\u00fc, ba\u015fta Apache Struts olmak \u00fczere belirli web \u00e7er\u00e7evelerinde kullan\u0131lan OGNL ifadelerinden yararlanmay\u0131 i\u00e7erir. OGNL enjeksiyonu, bilgilerin yetkisiz olarak if\u015fa edilmesine, verilerin de\u011fi\u015ftirilmesine ve hatta sistemin tamamen tehlikeye at\u0131lmas\u0131na neden olabilir.<\/p>\n
OGNL enjeksiyonu, veri i\u015fleme ve kullan\u0131c\u0131 aray\u00fcz\u00fc olu\u015fturma gibi \u00e7e\u015fitli ama\u00e7lar i\u00e7in OGNL ifadelerine dayanan web uygulamalar\u0131 ve \u00e7er\u00e7evelerin b\u00fcy\u00fcmesiyle birlikte tan\u0131nd\u0131. Java web uygulamalar\u0131 geli\u015ftirmeye y\u00f6nelik pop\u00fcler bir a\u00e7\u0131k kaynakl\u0131 \u00e7er\u00e7eve olan Apache Struts, bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131n birincil kurban\u0131 oldu.<\/p>\n
OGNL enjeksiyonundan ilk kez 2011 y\u0131l\u0131nda bir ara\u015ft\u0131rmac\u0131n\u0131n Apache Struts2'de bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131 tespit etmesiyle bahsedildi. Bu a\u00e7\u0131klama, OGNL ile ili\u015fkili riskler ve sald\u0131r\u0131 vekt\u00f6rlerine ili\u015fkin bir dizi ileri ara\u015ft\u0131rma ve ke\u015ffin ba\u015flang\u0131c\u0131 oldu.<\/p>\n
OGNL enjeksiyonu yaln\u0131zca Apache Struts ile s\u0131n\u0131rl\u0131 de\u011fildir, ayn\u0131 zamanda OGNL kullanan di\u011fer \u00e7er\u00e7eveleri de etkileyebilir. Bu g\u00fc\u00e7l\u00fc ifade dili, Java nesnelerinin \u00f6zelliklerini almak ve ayarlamak i\u00e7in tasarlanm\u0131\u015ft\u0131r. Sald\u0131rganlar, sunucu taraf\u0131ndan de\u011ferlendirildi\u011finde rastgele Java kodu \u00e7al\u0131\u015ft\u0131ran k\u00f6t\u00fc ama\u00e7l\u0131 OGNL ifadeleri olu\u015fturabilir.<\/p>\n
OGNL enjeksiyonu bir uygulamaya veya sisteme ciddi zarar verebilir. \u015eunlara yol a\u00e7abilir:<\/p>\n
Sald\u0131rganlar, kullan\u0131c\u0131 giri\u015finin g\u00fcvenli olmayan \u015fekilde i\u015flenmesinden yararlan\u0131r ve OGNL ifadelerini manip\u00fcle eder. Tipik sald\u0131r\u0131 vekt\u00f6rleri \u015funlar\u0131 i\u00e7erir:<\/p>\n
OGNL enjeksiyonu, bir sald\u0131rgan\u0131n uygulaman\u0131n giri\u015fine k\u00f6t\u00fc ama\u00e7l\u0131 OGNL ifadelerini enjekte edebilmesi durumunda ger\u00e7ekle\u015fir. OGNL enjeksiyonunun nas\u0131l \u00e7al\u0131\u015ft\u0131\u011f\u0131n\u0131n ad\u0131m ad\u0131m d\u00f6k\u00fcm\u00fc a\u015fa\u011f\u0131da verilmi\u015ftir:<\/p>\n
OGNL enjeksiyonu \u00e7e\u015fitli \u00f6zelliklerden dolay\u0131 \u00f6ne \u00e7\u0131k\u0131yor:<\/p>\n
\u00d6ncelikle iki tip OGNL enjeksiyonu vard\u0131r:<\/p>\n